米国のソーシャルネットワークサービス(SNS)、“Quechup.com”による招待状スパムの被害が日本でも徐々に広がっている。このSNSに登録すると、意図せずにアドレス帳からメールアドレスを収集し、自分の名前で手当たり次第に招待状が送られる危険性がある。招待状を受け取った人がQuechup.comに参加して、また招待状が勝手に送られて……と、被害がネズミ算式に広がる可能性があり、注意が必要だ。
“Quechup.com”のメイン画面。一見普通のSNSだが、実は重要な機能は有料会員登録しないと使えない
アドレス収集の方法が問題
Quechup.comの招待状。返信先が、ユーザーの登録メールアドレスになっているのも通常のSNSとは違う点で、なんとか登録させようという巧妙な意図がうかがえる
Quechup.comは登録してみればごく普通のSNSサイトに見えるので、ユーザーは自分が被害にあったことがすぐには分からない。
その手口だが、まずアカウント登録の途中で“Find out which of your friends already use quechup”(あなたの友人がすでにquechupを利用しているか探します)と表示され、使っているウェブメールもしくはメールクライアントのアドレス帳を選ばせる画面になる。選択肢は、Hotmail、Yahoo!mail、Gmail、AOL、Outlook、Outlook Expressの6種類だ。
ウェブメールの場合はアカウントとパスワードを入力するように、OutlookとOutlook Expressの場合は、ActiveXコントロールを許可するように促される。これによりQuechup.comは、ユーザーのアドレス帳から、メールアドレスを参照することが可能になる。
アカウント登録の途中で、アドレス帳を参照するために、ウェブメール/メールクライアントを選択させられる
参照が終わると、画面にアドレスと名前の一覧、それに英語の注意書きが表示される。この注意書きが引っかけで、文中にある招待(invite)というのが、招待状をメールで送ることなのか、Quechup.comに登録しているのが見つかった人を友人として招き入れることなのかが、明確にされていない。
よく読むと、Quechupに参加していない人を招待するかどうかを聞かれていることが分かるのだが、うっかり“CONTINUE”を押してしてしまい、招待状を配布してしまう人があとを絶たないのだ。
アドレス帳から参照されたメールアドレス。よく見ると、Quechup.com登録ユーザーにはマッチしなかった人としてアドレスを列挙しているのだが、一見そうとは気づきにくいレイアウトになっている
Quechup.comは、SNSとしては普通のサイトだが、有料会員にならないとメッセージ機能すら使えないなど、金儲け色が強い。招待状をスパム的に配布するシステムは確信犯的なものだろう。
SNSが一般化したことや、Twitterなどの、外部のウェブサービスやIMのアカウントを利用して便利な使い方ができるサービスがいくつか登場していることから、ついうっかりアドレス帳を参照させてしまうということもあり得るので、十分に注意したい。
